SIL评估中共用测量单元结构可靠性计算探讨

亢海洲 朱建新 方向荣 庄力健 袁文彬

(合肥通用机械研究院国家压力容器与管道安全工程技术研究中心，安徽 合肥 230031)



SIL评估中共用测量单元结构可靠性计算探讨

亢海洲 朱建新 方向荣 庄力健 袁文彬

(合肥通用机械研究院国家压力容器与管道安全工程技术研究中心，安徽 合肥 230031)

近十年来，随着安全联锁系统完整性等级(SIL)评估工作在炼油、化工、电厂等装置中的开展，实际评估工作中出现了很多不同于IEC 61508和IEC 61511标准规定典型逻辑结构(如1oo1、1oo2、2oo3等)。针对多个传感器共用测量模块的特殊逻辑结构，IEC标准并未给出其可靠性计算的具体方法和公式。通过故障树分析，等效拆解特殊逻辑结构为多个典型结构，准确得到了每个安全联锁功能的安全完整性等级，避免了SIL定级计算错误可能引起的事故，为SIL评估的深入且顺利开展提供了保障与技术储备。

安全联锁系统(SIS) 安全联锁等级(SIL) 安全联锁功能(SIF) 风险防御 可靠性 故障树分析(FTA) 测量单元

0 引言

随着石油化工等过程装置朝大型化和复杂化方向发展，与此相适应，仪表控制系统尤其是安全联锁系统(safety instrumented system，SIS)的应用也越来越普遍，并且系统结构也越来越复杂。而安全联锁系统越复杂，其可靠性的计算也越来越复杂，其完整性就需要由专门的机构和专业技术人员来进行评估[1-3]。

安全联锁等级(safety integrity level，SIL)的定量风险评估技术以国际标准及国内外诸多石油化工企业的经验数据为依据，通过对现有安全联锁系统的各个安全联锁功能(safety instrumented function，SIF)进行定量分析。对超保护的联锁，要降低其误跳车概率；对保护不足的SIF，则要增加保护功能。对过程工业装置进行SIL评估后，既可以保证安全联锁系统的安全可靠，又降低了装置误跳车频率，从而减少了因非计划停车而引发的经济损失。

安全联锁系统作为主动抵御危险工况的最后一道屏障，设计方及设备专利商从自身角度出发，难免造成一定程度的过度设计。当逻辑含有较多冗余设置时，甚至需要采用特别构造的蒙特卡洛方法进行计算[4-5]。

一方面，现场技术人员或使用方在操作过程中，对于误跳的安全联锁回路，即安全联锁功能，习惯性地进行摘除或旁路，一定程度上降低了误跳车可能性，但增加了拒动作概率。如果现场真正出现危险工况，而与此相关的SIF又被摘除了，则会酿成重大事故甚至灾难。另一方面，为了降低误跳可能性，提高可用性，同时兼顾改造成本和施工难度，只增加了变送器冗余，测量模块可能依然是单设的。

不同于IEC 61508标准规定的常见逻辑结构，并不能简单采用已有的可靠性计算方法。在进行完整的SIL评估时，必须采用合适的评估方法[6-7]。

1 共用测量单元逻辑结构的可靠性计算

1.1 特殊逻辑结构的设置

某石化公司某重要容器在顶部设置了温度高高联锁，由于单支热电偶可用性不足，存在断偶等突发事故，较容易出现假信号而造成装置停车，影响企业经济效益。公司拟通过增加冗余的方式来提高此SIF回路的可用性。由于容器顶部开孔有限，又无法在容器的在役过程进行开孔作业，所以共用测量模块，后续模块各自独立。即通过同一支热电偶引出测量信号，分别进入2只变送器；经变送的标准信号分别由不同信号电缆传送至中控室，独立进入I/O卡件，并最终进入CPU求解器。原有温度高高联锁回路的逻辑结构如图1(a)所示，改进后的逻辑结构如图1(b)所示。

图1(b)细化了传感器子系统，图1(a)的传感器中其实也包含了测量模块、变送模块及相应的电路器件。从图1(a)可以看出，传感器子系统逻辑结构为1oo1(1 out of 1)。KooN表示共N个传感器中，如果有K个传感器达到联锁预设值，即触发此联锁。但图1(b)中传感器子系统的设计更加复杂，既不是常见的1oo1也不是2oo2或1oo2，不能直接套用IEC 61508标准里规定的方法计算其可靠性。

图1 逻辑结构图

1.2 特殊逻辑结构的失效率数据

为了简化计算，只需要计算传感器子系统的可靠性参数，即指令模式下的平均失效概率(PFDavg)及平均无故障工作时间(mean time to failure safe，MTTFS)[8]。整个SIF回路的可靠性暂时不计算。

针对现场所用Rosemount 3144P传感器子系统，根据失效模式和效果分析(failure mode and effect analysis，FMEA)方法，将部件失效类型划分为安全可检测(safe failure and detected，SD)、安全不可检测(safe failure and undetected，SU)、危险可检测(dangerous failure and detected，DD)、危险不可检测(dangerous failure and undetected，DU)共4种模式[9-10]。查询数据手册，各部件的失效率数据如表1所示。

表1 各部件失效率数据

表1中，FIT(failures in time)表示十亿分之一。

1.3 特殊逻辑结构的可靠性计算

根据表1的失效率数据，图1(a)逻辑结构的可靠性计算可以直接代入根据IEC标准开发的专业SIL评估软件《通用过程工业功能安全完整性评估系统》。1oo1逻辑计算参数如表2所示。

表2 1oo1逻辑计算参数

表2中:tR为在线修复时间；tI为检验周期；tSD为误跳车后重启装置的时间。

计算结果为：PFD_avg=9.94E-03；MTTFS=1.40E+06(即159.43 a)。

图1(b)逻辑结构的计算思路为：先按照1oo1结构计算测量模块的可靠性参数;再按照1oo2模型计算变送模块、安全栅和报警设定器的可靠性参数;最后，利用全概率公式计算整个传感器子系统的拒动作概率，并利用加权平均数计算整个传感器子系统的平均故障前工作时间。

①测量模块的表决类型为1oo1。测量模块计算参数如表3所示。

表3 测量模块计算参数

计算结果为： PFD_avg1=4.35E-03；MTTFS1=3.03E+07(即3 459.25 a)

②变送器模块、安全栅、报警设定器的表决类型为1oo2。变送模块计算参数如表4所示。

表4 变送模块计算参数

计算结果为：PFD_avg2=2.09E-04；MTTFS2=7.43E+05(即84.84 a)

③整个传感器子系统的计算结果如下：

PFD_avg=PFD_avg1+PFD_avg2-PFD_avg1×PFD_avg2=4.56E-03;MTTFS=1/(1/MTTFS1+1/MTTFS2)=82.80 a

2 结果分析

2.1 1oo2或2oo2逻辑计算

如果忽略或者无视测量单元的共用特性，将图1(b)的逻辑结构简单处理为1oo2或2oo2模型，利用IEC标准推荐方法计算，得到以下结果。

①1oo2逻辑计算参数如表5所示。

表5 1oo2计算参数

计算结果为：PFD_avg=4.19E-04；MTTFS=7.09E+05(即80.93 a)

②表决类型为2oo2。

2oo2逻辑计算参数同表5。

计算结果为：PFD_avg=1.94E-02；MTTFS=2.15E+06(即245.78 a)

2.2 各计算结果分析

根据计算的PFDavg，进一步计算传感器子系统的风险降低因子(risk reduce factor，RRF)，并根据RRF可以知道目前传感器子系统能够达到的SIL等级。以上各种模型的计算结果如表6所示。

表6 各种模型计算结果

表6中，RRF=1/PFD_avg。

比较各计算结果，得到以下结论。

①从表2可以看出，当无视或者忽视了测量模块的共用特性以后，传感器子单元可以达到的SIL等级从SIL2变化为SIL1和SIL3，变化显著。而这将进一步影响整个SIF回路的分析结果，甚至导致所评估的整个SIF回路SIL等级发生变化，导致评估结论出现错误。如果依据此错误结论给出的联锁回路改进建议，则可能埋下事故隐患或造成重大经济损失。

②如果按照图1(a)逻辑粗略计算此特殊逻辑结构的可靠性，从拒动作概率方面看，所得结果存在一定隐患。为了保证评估回路的安全性，建议评估人员在对公用测量模块的特殊逻辑结构进行分析时，作精细化的处理，可以按照本文思路或其他可靠性分析的基本思路进行分析，如可靠性框图(reliability block diagram，RBD)、故障树分析(fault tree analysis，FTA)等。

③分析误差产生的原因。如果按照1oo2结构来计算，由于测量模块的热电偶是共用状态，一旦热电偶断偶或发生其他故障，则2路都发生故障；所以真实的共因失效因子CCF其实远远大于0.03，按照IEC标准推荐的β模型，取推荐值0.03会发生偏危险的结果。

④由于测量模块的失效率数据比其他部件的失效率数据大很多，尤其危险可检测数据DD占了整个传感器子系统DD数据的94%，所以主导传感器子系统可靠性的部件难以避免地由测量单元主导和控制。即使增加了独立的变送器及相应的其他所有部件，但对整个传感器子系统的可靠性结果影响很小；如果考虑经济效益指标(投资回报率)，评估人员一般不作此类建议。

⑤对于使用单位已经改进成2oo2结构的情况，一般建议利用合适的机会，在容器上新开孔或者利用某个就地显示表的原有开孔或检查孔来增加测量模块的冗余，以期真正地实现2oo2逻辑。对实在无法开孔也无原有开孔利用情形，可在原有热电偶保护套管内增加另一只热电偶作热备。一旦有一只热电偶断开或故障，可以方便仪表人员更换，以提高联锁回路的可用性。

3 结束语

可以预见，后期安全联锁系统完整性(SIL)评估过程中会遇到越来越多复杂逻辑结构，这些逻辑结构都不能直接按照标准推荐的算法计算。评估人员应该根据标准的要求，把握大方向和原则，在具体实施计算的过程中，灵活运用多种方法，结合现场实际情况，给出设计方或专利商、使用单位及评估单位多方接收的改进建议，以提高我国流程工业装置运行的安全性和平稳性，提高企业的经济效益。

[1] 朱建新,方向荣,庄力健,等.安全完整性技术(SIL)在我国石化装置上的应用实践及思考[J].化工自动化及仪表,2012,39(10):1253-1259.

[2] 亢海洲,朱建新,方向荣,等.空分压缩机组安全完整性等级(SIL)技术评估应用及分析[J].自动化技术与应用,2015,34(2):74-78.

[3] 方向荣,庄力健.安全联锁系统评估在石化装置的应用[J].压力容器,2009,26(12):47-50.

[4] 亢海洲,陈学东.安全联锁系统(SIS)复杂逻辑结构的可靠性模拟[D].杭州:浙江工业大学,2009.

[5] 方向荣,朱建新,庄力健,等.蒙特卡洛仿真在安全联锁系统可靠性评估中的应用[J].化工自动化及仪表,2012,39(12):1640-1659.[6] 朱建新,王莉君,高增梁,等.基于失效模式的联锁系统安全与误跳车计算方法[J].压力容器,2007,24(7):12-16.

[7] 于改革,陈学东,朱建新,等.基于马尔科夫模型的“二取二”结构误跳车分析[J].石油化工自动化,2010(5):24-28.

[8] WILLIAM M G.Control Systems Safety Evaluation and Reliability[M].2nd ed.USA:ISA,1998.

[9] IEC commission.Functional safety of electrical/electronic/programmable electronic safety- related systems- Part1:General Requirements[S].IEC 61508,1998.

[10] IEC commission.Functional safety-Safety instrumented systems for the process industry sector-Part1:Framework,definitions,system,hardware and software requirements [S].IEC 61511,2003.

Investigation on the Reliability Calculation in SIL Assessment for Shared Measuring Unit Structure

In recent decade,along with safety integrity level (SIL) assessment of safety interlock systems has been expanded to facilities in oil refinery,chemical and power generation plants,some typical logical structures(e.g.,1oo1,1oo2,2oo3,etc) which are different from those of defined in standards of IEC 61508 and IEC 61511 appear in practical assessment.For the special logical structure of multiple sensors shared measurement modules,specific method and formula of reliability calculation have not been given in these IEC standards.Through fault tree analysis (FTA),the special logical structure is dismantled equivalently into multiple typical structures,and precise safety integrity level of each safety interlock function is obtained,thus the accident caused by the error in calculation of grading SIL can be avoided,guarantee and technical reserve are provided for intensively and smoothly carrying out SIL assessment.

Safety interlock system(SIS) Safety interlock level (SIL) Safety interlock function(SIF) Risk defense Reliability Fault tree analysis(FTA) Measurement unit

国家高技术研究发展计划(863)基金资助项目(编号：2014AA041806)。

亢海洲(1983—)，男，2009年毕业于浙江工业大学化工过程机械专业，获硕士学位，工程师；主要从事过程工业安全联锁系统风险识别与安全完整性等级方向的研究。

TH7;TP29

A

10.16086/j.cnki.issn 1000-0380.201611017

修改稿收到日期：2016-02-26。